Capa » Notícias

KaZaA ganha seu primeiro vírus

Segunda, 20 de maio de 2002, 18h55
Foi descoberto o primeiro vírus a utilizar a rede do programa KaZaA para se propagar. Batizado de Worm.Kazaa.Benjamin, Kazoa ou simplesmente Benjamin, o worm pode se disfarçar, segundo a Panda Software, com 3.083 nomes diferentes de filmes e games conhecidos.

Entre os nomes de arquivos utilizados pelo Benjamin, estão: Age of Empires 2-Spiel-full-downloader.exe, Jurasik Park 3-divx-full-downloader.exe, South Park Vol. 1-divx-full-downloader.exe e Star wars Episode 1-Filme-full-downloader.exe.

O KaZaA é um dos mais populares softwares para troca de arquivos de variados formatos. Utiliza uma tecnologia conhecida como peer-to-peer (P2P), a qual permite que os arquivos sejam compartilhados diretamente entre um usuário e outro, o que serviria para aumentar o poder de disseminação de vírus.

Em um computador infectado, Benjamin cria um diretório que pode ser acessado por outros usuários da rede KaZaA. Neste diretório, faz cópias constantes de si mesmo sob milhares de nomes diferentes. Quando um usuário do programa busca um arquivo cujo nome corresponda a um dos disfarces assumidos pelo vírus, pode obter como resultado alguns dos arquivos contaminados. Caso o usuário faça o download e execute o arquivo, dará continuidade ao processo.

Ao ser executado, o worm faz aparecer na tela uma janela de erro, como se vê abaixo:

Depois disso, faz um cópia de si mesmo no diretório C:\WINDOWS\SYSTEM\ com o nome de EXPLORER.SCR. Então gera outras 3.083 cópias na pasta Windows\Temp\sys32 e adiciona dados inúteis a estes arquivos, de modo a torná-los maiores e enganar mais facilmente os usuários, para que pensem tratar-se de filmes e jogos. Os nomes que assume são retirados de uma lista presente em seu código. O tamanho original do vírus é de 206.874 bytes, comprimidos com o utilitário ASPack. O registro do Windows também é modificado para que o vírus seja executado toda vez que o sistema é iniciado.

Além de ocupar espaço livre do disco rígido, Benjamin cria uma identidade (ID) usada para se conectar a um site que apresenta banners publicitários. Com isso, o criador do vírus pode ter algum lucro, segundo a Kaspersky, devido à renda gerada pela publicidade, pois no site há um contador que identifica quantas vezes a página foi acessada a partir da ID fornecida. Este comportamento também cria uma espécie de ataque de negação de serviço na máquina infectada, por causa dos recursos que são gastos nestas repetidas conexões.

De acordo com a Trend Micro, alguns dos arquivos gerados pelo Benjamin estão corrompidos e não oferecem risco. Ao mesmo tempo, como boa parte do cabeçalho destes arquivos se apresenta danificada, os programas antivírus também não são capazes de identificá-los.

No ano passado, outro programa de troca de arquivos, o Gnutella, foi vítima de um vírus que explorava a tecnologia P2P, mas os estragos foram ínfimos. Mesmo assim, para Denis Zenkin, chefe de comunicações da Kaspersky, estes episódios são significativos. "Este evento demonstra a necessidade de se checar todo tipo de arquivo que chega ao computador de um usuário, independentemente de quão bem protegida esta ou aquela rede seja", afirma.

Devido ao pequeno número de infecções registradas, o Benjamin está sendo considerado de baixo risco. Várias empresas já desenvolveram vacinas para o vírus.

Giordani Rodrigues

Volta para a capa | Volta para as notícias

Copyright © InfoGuerra 2000-2001. Todos os direitos reservados.